ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGƠ QUANG HƯNG NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH PHẦN MỀM MÃ ĐỘC LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – 2014 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -o0o - NGƠ QUANG HƯNG NGHIÊN CỨU PHƯƠNG PHÁP PHÂN TÍCH PHẦN MỀM MÃ ĐỘC Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: Hà Nội – 2014 TS PHÙNG VĂN ỔN LỜI CAM ĐOAN Tôi xin cam đoan kết đạt luận văn thân nghiên cứu, tổng hợp thực Toàn điều trình bày luận văn cá nhân tham khảo tổng hợp từ nguồn tài liệu khác Tất tài liệu tham khảo, tổng hợp trích dẫn với nguồn gốc rõ ràng Tơi xin chịu hồn tồn trách nhiệm lời cam đoan Nếu có sai trái, tơi xin chịu hình thức kỷ luật theo qui đinh Hà Nội, tháng 10 năm 2014 Học viên Ngô Quang Hưng LỜI CẢM ƠN Tôi muốn bày tỏ lòng biết ơn sâu sắc tới người giúp đỡ tơi q trình làm luận văn Đặc biệt xin cám ơn TS Phùng Văn Ổn, với lịng kiên trì, thầy bảo tơi chi tiết, cho tơi lời nhận xét q báu theo sát bước làm luận văn Đồng thời xin gửi lời cảm ơn tới thầy cô giáo giảng dạy khoa Công nghệ thông tin – Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội truyền đạt kiến thức cho suốt thời gian học tập nghiên cứu vừa qua Tôi xin chân thành cảm ơn quan, bạn bè, đồng nghiệp, gia đình người thân chia sẻ, giúp đỡ, động viên, tạo điều kiện thuận lợi để tơi hồn thành nhiệm vụ học tập hoàn thành luận văn Hà nội, tháng 10 năm 2014 Học viên Ngô Quang Hưng MỤC LỤC LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG MỞ ĐẦU CHƯƠNG 1-TỔNG QUAN VỀ MALWARE 1.1 Khái niệm Malware 1.2 Phân loại Malware 1.3 Lược sử Malware 13 1.4 Vai trò việc phân tích Malware 17 CHƯƠNG 2– CƠ CHẾ HOẠT ĐỘNG CỦA MALWARE 18 2.1 Tìm hiểu cấu trúc PE file 18 2.2 Hình thức lây nhiễm 19 2.2.1 Qua thiết bị lưu trữ 19 2.2.2 Qua mạng Internet 20 2.3 Đối tượng lây nhiễm 22 2.3.1 Các phần mềm: 22 2.3.2 Đoạn mã (Script): 23 2.3.3 Shortcuts: 24 2.3.4 Một số loại tập tin khác: 24 2.4 Khởi động hệ thống 25 2.5 Phá hoại hoạt động khác 28 2.6 Cơ chế tự bảo vệ mã độc 29 2.6.1 Cơ chế tạo áo giáp (Armouring): 29 2.6.2 Cơ chế chống theo dõi (Anti Heuristic): 29 2.6.3 Cơ chế chống phần mềm phân tích (Anti-Analysis software) 30 2.6.4 Chống gỡ rối ảo hóa (Anti debugger & Virtual Machine) 30 2.7 Kỹ thuật đóng gói để che giấu mã độc 31 2.8 Xu hướng phát triển Malware 33 CHƯƠNG 3- PHƯƠNG PHÁP PHÂN TÍCH MALWARE 35 3.1 Qui trình phân tích Malware 35 3.2 Kiểm tra, phát lấy mẫu Malware 35 3.2.1 Kiểm tra phần mềm khởi động hệ thống 35 3.2.2 Tiến trình Windows 36 3.2.3 Kiểm tra chuỗi (string) tiến trình 37 3.2.4 Tiêm mã độc 39 3.2.5 Phát che giấu mã độc với phương pháp phân tích Entropy 39 3.2.6 Sử dụng hàm băm (Hash) để xác định phần mềm độc hại 41 3.2.7 Lấy mẫu Malware 41 3.3 Thiết lập môi trường phân tích an tồn 42 3.4 Phân tích tĩnh 44 3.4.1 Phân tích hàm Windows API để phát phần mềm nghi vấn 44 3.4.1.1 API : 44 3.4.1.2 Các thành phần Windows API 44 3.4.1.3 Tại phải tìm hiểu Windows API 44 3.4.2 Dịch ngược phân tích mã Assembly 45 3.4.3 Unpacking 45 3.5 Phân tích động 48 3.5.1 Sử dụng công cụ Sandbox 49 3.5.2 Giám sát hoạt động tiến trình 50 3.5.3 Sử dụng chương trình gỡ rối (Debugger) 50 3.5.4 Sử dụng Volatility để rà quét, phân tích mã độc RAM 52 3.6 Một số tiêu chí đánh giá an ninh tiết trình 53 CHƯƠNG – HỆ THỐNG HỖ TRỢ PHÂN TÍCH MALWARE 54 4.1 Hệ thống phân tích Malware tự động Cuckoo Sandbox 54 4.1.1 Giới thiệu hệ thống 54 4.1.2 Cài đặt hệ thống 55 4.1.3 Sử dụng Cuckoo Sandbox để phân tích Malware 56 4.2 Xây dựng phần mềm đánh giá an ninh tiến trình 59 4.2.1 Giới thiệu phần mềm 59 4.2.2 Biểu đồ Use case 60 4.2.3 Một số kịch phần mềm 62 4.2.4 Chương trình 63 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO 67 PHỤ LỤC: MỘT SỐ HÀM WINDOWS CẦN CHÚ Ý KHI PHÂN TÍCH MALWARE 68 DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT Từ viết tắt AIM AOL CERT DDoS DUMP EIP HTML IAT IDE IM Malware Tiếng Anh Tiếng Việt AOL Instant Messenger America Online Computer emergency response team Distributed denial-of-service Dump EIP Virtual Machine Import Address Table Integrated development environment Instant Messaging Malicious software National Institute of Standards and Technology Tin nhắn nhanh mạng AOL America Online Đội phản ứng nhanh máy tính Từ chối dịch vụ phân tán Kế xuất Thanh ghi trỏ lệnh Máy ảo Bảng địa hàm nhập Mơi trường phát triển tích hợp Tin nhắn nhanh Mã độc Viện công nghệ tiêu chuẩn quốc gia Hoa Kỳ NSRL National Software Reference Library Thư viện tham khảo phần mềm quốc gia Hoa Kỳ OEP OTP PC PCAP PE RAT SMS TCP VCL VM VX Original Entry Point One Time Password Personal computer Packet capture Portable Executable Remote Administration Tool Short Message Service Transmission Control Protocol Virus Creation Laboratory Virtual Machine Virus eXchange Điểm vào chương trình gốc Mậ lần Máy tính cá nhân Bắt gói tin Thực thi khả chuyển Cơng cụ quản trị từ xa Tin nhắn ngắn Giao thức điều khiển truyền vận Phịng thí nghiệm tạo virus Máy ảo Trao đổi virus NIST DANH MỤC HÌNH VẼ, SƠ ĐỒ, BẢNG Hình 2.1: Cấu trúc PE 18 Hình 2.2 Đóng gói để che giấu mã độc 32 Hình 3.1 Qui trình phân tích Malware 35 Hình 3.2 Kiểm tra phần mềm khởi động hệ thống 36 Hình 3.3 Quản lý tiến trình kiểm tra chữ ký file thực thi 37 Bảng 3.1: Độ xác thống kê dựa Entropy 41 Hình 3.4 Mơ hình hệ thống ảo hóa 42 Hình 3.5: Xác định phần mềm đóng gói với PEID 46 Hình 3.6: Tìm OEP phần mềm gốc 46 Hình 3.7: Lưu phần mềm gốc giải đóng gói nhớ 47 Hình 3.8: Kết xuất file exe từ nhớ 47 Hình 3.9: Sửa lại Import Address Table 48 Bảng 3.2: Phát tiến trình liệt kê tập tin doc phương pháp giám sát 50 Bảng 3.3: Một số tiêu chí đánh giá an ninh tiến trình 53 Hình 4.1 Sơ đồ hệ thống phân tích mã độc Cuckoo Sandbox 55 Hình 4.2 UC01 - Tổng quan 60 Hình 4.3 UC02 – Kiểm tra tiến trình 60 Hình 4.4 UC03 – Liệt kê kết nối mạng 61 Hình 4.5 UC04 – Kiểm tra Hash 61 Hình 4.6 UC05 – Kiểm tra hàm API 61 Hình 4.7 Chức kiểm tra tiến trình 63 Hình 4.8 Xác định kết nối mạng 64 Hình 4.9 Kiểm tra mã Hash tập tin 64 Hình 4.10 Phân tích bảng Import Table đưa hàm nghi vấn 65 MỞ ĐẦU Thế giới chứng kiến thay đổi lớn có phát triển nhanh chóng mặt, ngành cơng nghệ thơng tin; phần mềm mã độc khơng nằm ngồi xu hướng Từ thời điểm lý thuyết tự nhân phần mềm máy tính John von Neuman (1903-1957) đưa (năm 1941) đến xuất virus phải thập kỷ, với bùng nổ Internet mã độc theo bùng nổ theo Song song với việc ứng dụng công nghệ thông tin, mã độc len lỏi vào mặt đời sống, gây thiệt hại vô nghiêm trọng kinh tế lẫn an ninh, quốc phịng Khi nói chống phần mềm độc hại, ta thường nói tới phần mềm chống virus lúc phần mềm chống virus có hiệu Do đó, việc nâng cao ý thức cảnh giác để phòng ngừa phân tích, vơ hiệu hố phần mềm độc hại trở thành nhu cầu tất yếu Vấn đề phân tích, chống phần mềm mã độc vô số hãng bảo mật giới tiến hành đầu tư nghiên cứu; từ hãng lớn Internet McAfee, Kaspersky, Norton … nhóm phát triển phần mềm đơn lẻ Một số ứng dụng điển hình kể đến như: McAfee Antivirus, Kaspersky Antivirus, Norton Antivirus, Microsoft Security Essentials, AVG Anti-Virus … Tuy nhiên, phát triển phần mềm mã độc trước chương tình diệt virus bước nên việc nghiên cứu, phân tích mã độc trở nên quan trọng cấp thiết để hạn chế tối đa thiệt hại phần mềm mã độc gây Trên sở kiến thức an tồn thơng tin, lý thuyết hệ điều hành nhu cầu thực tế, hướng tới xây dựng chương trình đánh giá an ninh tiến trình nhằm hỗ trợ trình phát mã độc Ngồi ra, đề tài cịn phát triển để ứng dụng phục vụ cho quan phủ (an ninh, quốc phịng…) tổ chức, cá nhân có nhu cầu Ngồi phần Mở đầu, Kết luận Phụ lục, nội dung luận văn chia làm chương chính: Chương Tổng quan Malware: chương giới thiệu vấn đề Malware, lịch sử xu phát triển chúng Chương Cơ chế hoạt động Malware: chương mô tả khái quát hàm API, cấu trúc file PE Windows số kỹ thuật mà Malware sử dụng để lây nhiễm trì tồn chúng hệ thống Chương Phương pháp phân tích Malware: chương mơ tả bước phân tích Malware xây dựng quy trình phân tích Malware Chương Xây dựng phần mềm hỗ trợ phân tích Malware: áp dụng lý thuyết đưa Chương để xây dựng phần mềm hỗ trợ phân tích Malware Giới thiệu hệ thống phân tích Malware tự động Cuckoo Sandbox Phần Kết luận: trình bày tổng hợp kết nghiên cứu luận văn định hướng nghiên cứu Luận văn đạt số kết khả quan việc nghiên cứu kỹ thuật phân tích Malware, đưa quy trình phân tích đồng thời xây dựng cơng cụ hỗ trợ phân tích hiệu Tuy nhiên, luận văn khơng thể tránh khỏi thiếu sót, tơi mong nhận ý kiến đóng góp, nhận xét thầy cô giáo bạn đọc để kết nghiên cứu ngày hoàn thiện 58 Hit Ctrl-C to quit 4.1.3.5 Kết phân tích Kết trả sau phiên phân tích mẫu malware conficker Category FILE Started On Completed On Duration Cuckoo Version 2014-10-28 22:24:34 2014-10-28 22:25:01 27 seconds 1.1 Thông tin Malware File name malware.exe File size 56832 bytes File type PE32 executable (DLL) (GUI) Intel 80386, for MS Windows, UPX compressed CRC32 4A98923E MD5 cc7edb2e4300ac539259f3ffde0f1ab6 SHA1 692caa0d6fd13028bec25cdca15f13522d1b3a7d SHA256 f9ad7be3c4f8cf06d2f5f1784c8c9eae81f15559a2c906a2ded9ba51cc659e09 SHA512 ec96df9d96f772b2b901397ae660f906c708f15f575955e3eaa56d8abbe05fca9 348942c9ca0a6052039b72c2f3a2d1abf960acdb131b597af2f8d76c1850ec1 Ssdeep None PEiD None matched Yara None matched VirusTotal VirusTotal Scan Date: 2014-06-19 13:45:06 Detection Rate: 45/54 (Expand) Hàm gọi KERNEL32.DLL: - 0x10015064 - LoadLibraryA 0x10015068 - GetProcAddress 0x1001506c - VirtualProtect 0x10015070 - VirtualAlloc 0x10015074 - VirtualFree Các file bị tác động - C:\DOCUME~\home\LOCALS~1\Temp\CC7EDB2E4300AC539259F3FFDE0F1 - AB6.EXE C:\DOCUME~\home\LOCALS~1\Temp\CC7EDB2E4300AC539259F3FFDE0F1 - AB6.EXE.123.Manifest C:\WINDOWS\system32\kernel32.dll 59 - C:\WINDOWS\system32\tsmsph.dll PIPE\lsarpc C:\ C:\WINDOWS\Registration\R000000000008.clb Các khóa Registry bị tác động - - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tlavuctmx HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tlavuctmx\Par ameters - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost - - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\Alter nate Sorts - HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback \CLSID\{0CA545C6-37AD-4A6C-BF92-9F7610067EF5}\InprocHandler32 - \CLSID\{0CA545C6-37AD-4A6C-BF92-9F7610067EF5}\InprocHandlerX86 - \CLSID\{0CA545C6-37AD-4A6C-BF92-9F7610067EF5}\LocalServer HKEY_CLASSES_ROOT\CLSID\{0CA545C6-37AD-4A6C-BF929F7610067EF5} HKEY_CLASSES_ROOT\CLSID\{0CA545C6-37AD-4A6C-BF92- - 9F7610067EF5}\TreatAs 4.2 Xây dựng phần mềm đánh giá an ninh tiến trình 4.2.1 Giới thiệu phần mềm Từ lý thuyết Chương tiêu chí đưa Bảng 3.3 luận văn chọn xây dựng phần mềm hỗ trợ trình kiểm tra, phát Malware Phần mềm xây dựng có chức như: - Phân phân tích tiến trình chạy hệ thống dựa tiêu chí: chữ kí số, entropy file, kết nối mạng, so sánh hàm API file với bảng danh mục hàm API nhạy cảm để chấm điểm an ninh tiến trình - Hỗ trợ kiểm tra nhanh file có bị nén hay mã hóa khơng cách tính Entropy File - Phần mềm kiểm tra cho phép kiểm tra tập tin nghi vấn có phải phần mềm độc hại phát không dựa vào sở liệu Virustotal.com 60 Mã nguồn phần mềm viết Net phiên 4.0, sử dụng công cụ phát triển Microsoft Visual studio 2012 Phần mềm xây dựng thử nghiệm hệ điều hành Windows 64b 4.2.2 Biểu đồ Use case 4.2.1.1 UC01 tổng quan Kiểm tra tiến trình * Liệt kê kết nối mạng * * * * * Người phân tích Kiểm tra mã Hash * * Kiểm tra hàm API file Hình 4.2 UC01 - Tổng quan 4.2.1.2 UC02 Kiểm tra tiến trình Khởi động Windows «uses» «uses» «uses» Kiểm tra tiến trình Kiểm tra chuỗi file Tính Entropy «uses» «uses» Kiểm tra chữ ký số «uses» «uses» Kiểm tra kết nối mạng Kiểm tra mã Hash So sánh hàm API Hình 4.3 UC02 – Kiểm tra tiến trình 61 4.2.1.3 UC03 Liệt kê kết nối mạng Hình 4.4 UC03 – Liệt kê kết nối mạng 4.2.1.4 UC04 Kiểm tra Hash Hình 4.5 UC04 – Kiểm tra Hash 4.2.1.5 UC05 Kiểm tra hàm API Hình 4.6 UC05 – Kiểm tra hàm API 62 4.2.3 Một số kịch phần mềm 4.2.2.1 Kiểm tra tiến trình Số UseCase Tên UseCase Miêu tả UC02 Kiểm tra tiến trình Liệt kê danh sách tiến trình chạy hệ thống, xác định vị trí file thực thi tiến trình, kiểm tra chữ ký số file thực thi, tính Entropy file thực thi, xác định tiến trình cha Bơi đậm tiến trình nghi vấn Cho phép xếp tiến trình theo tiêu chí Chấm điểm an ninh cho tiến trình Tác nhân Tiền điều kiện Đảm bảo thành công Kịch Người phân tích Phần mềm phải chạy quyền quản trị hệ thống Liệt kê lấy đường dẫn tất tiến trình Đối với cấu hình kiểm tra tiến trình lúc thực thi, người dùng cần chạy phần mềm với quyền quản trị Đối với cấu hình khơng kiểm tra tiến trình lúc thực thi, người dùng chon Menu Cơng cụ - Tiến trình Hiển thị bảng tiến trình tham số kèm theo Ngoại lệ Không hiển thị hết tiến trình khơng xác định đường dẫn file thực thi không chạy phần mềm quyền quản trị 4.2.2.1 Kiểm tra Hash Số UseCase Tên UseCase Miêu tả UC04 Kiểm tra Hash Kiểm tra Hash thư viện Virustotal.com kiểm tra Hash thư viện NSRL Tác nhân Tiền điều kiện Người phân tích Đối với kiểm tra Hash qua thư viện vủa Virustotal.com cần có kết nối Internet Đối với kiểm tra Hash thư viện NSRL cần co thư viện NSRL hệ thống đặt đường dẫn thiết lập file cấu hình Đảm bảo thành cơng Xác định file chuối Hash kiểm tra có nghi vấn hay 63 Kịch khơng Người phân tích chọn tập tin muốn kiểm tra nhập mã Hash muốn kiểm tra vào ô nhập liệu Ấn nút kiểm tra Nếu kiểm tra qua thư viện vủa Virustotal.com, hiển thị kết trả Nếu kiểm tra qua thư viện NSRL, hiển thị thơng báo có tìm thấy khơng tìm thấy chuỗi Hash thư viện NSRL Trường hợp tìm thấy, Hash kiểm tra tập tin đánh giá đáng tin cậy Trường hợp khơng tìm thấy, Hash kiểm tra tập tin nghi ngờ chưa đưa vào thư viện NSRL Ngoại lệ Khơng có kết nối Internet, hiển thị thơng báo Khơng tìm thấy file NSRL, hiển thị thơng báo 4.2.4 Chương trình Chương trình đánh giá an ninh tiến trình phần cụ thể hóa kiến thức luận văn thu qua nghiên cứu cấu trúc file, chế lây nhiễm, chế ẩn giấu Malware Là cơng cụ hữu ích cho tìm kiếm phát Malware, bước quan trọng trình phân tích Malware Chương trình cho phép liệt kê tất tiến trình hoạt động hệ thống, Tìm đường dẫn tập tin tiến trình, tính Entropy kiểm tra chữ ký số tập tin Hình 4.7 Chức kiểm tra tiến trình 64 Hình 4.8 Xác định kết nối mạng Hình 4.9 Kiểm tra mã Hash tập tin 65 Hình 4.10 Phân tích bảng Import Table đưa hàm nghi vấn 66 KẾT LUẬN Luận văn đạt kết sau: - Giới thiệu khái niệm lý thuyết Malware - Giới thiệu kiến thức sở bao gồm lý thuyết file thực thi môi trường Windows, lý thuyết API Winsdows - Mô tả vấn đề phương pháp phân tích Malware từ đưa quy trình bước cụ thể để phân tích Malware - Xây dựng phần mềm hỗ trợ phân tích Malware Kết tham khảo có ý nghĩa cho nhà phân tích Malware, nhà đầu tư vào phần mềm AntiVirus, tài liệu tham khảo hữu ích cho nghiên cứu ứng dụng phân tích Malware Định hướng nghiên cứu tương lai: Đối với nghiên cứu tương lai, quan tâm việc đào sâu kết đạt được, đồng thời nghiên cứu phương pháp phát phân tích Malware ẩn sâu nhân hệ thống (rootkit) Yêu cầu xác minh nguồn gốc lây nhiễm nội dung thông tin bị khỏi hệ thống yêu cầu thường trực nhà phân tích mã độc việc phân tích mã độc lĩnh vực kinh tế, an ninh quốc phịng Do đó, hướng nghiên cứu cần đầu tư tương lai 67 TÀI LIỆU THAM KHẢO [1] http://www.symantec.com/connect/blogs/manual-unpacking-malware-samples [Truy cập: 17/5/2014] [2] JEONG, G et al, "Generic unpacking using entropy analysis" Malicious and Unwanted Software (MALWARE), 2010 5th International Conference on, 2010 pp 115-121 [3] LYDA, R and HAMROCK, J , “Using Entropy Analysis to Find Encrypted and Packed Malware” , Security & Privacy, IEEE , vol.5, no.2, pp.40-45 [4] Michael Sikorski, Andrew Honig, No Starch Press(2012) Practical Malware Analysis pp 13, 40-50, 67-69 [5] Michael Ligh , Steven Adair , Blake Hartstein , Matthew Richard , D (2010) Malware Analyst's Cookbook and DVD, p 200 [6] Michael Hale Ligh, Andrew Case, Jamie Levy, "The Art of Memory Forensics”, Wiley Pp.90-91 [7] NIST, 2005, “Guide to Malware Incident Prevention and Handling” Pp 15-23 [8] Peter Szor , 2005 “The Art of Computer Virus Research and Defense” Addison Wesley Professional Section 6.2 [9] Tyler Wrightson, 2014, “Advanced Persistent Threat Hacking: The Art and Science of Hacking Any Organization”, pp 120-126 68 PHỤ LỤC: MỘT SỐ HÀM WINDOWS CẦN CHÚ Ý KHI PHÂN TÍCH MALWARE STT Tên hàm accept AdjustTokenPrivileges AttachThreadInput BitBlt CertOpenSystemStore CheckRemoteDebuggerPre sent Connect ControlService CreateFile 10 CreateFileMapping 11 CreateMutex 12 CreateProcess 13 CreateRemoteThread Chú thích Nghe kết nối tới Socket Được sử dụng để kích hoạt vơ hiệu hóa quyền truy cập cụ thể Các mã độc sử dụng phương pháp tiêm vào tiến trình (process injection) thường sử dụng hàm Keylogger phần mềm gián điệp thường dùng hàm để thu thập kiện nhập từ thiết bị ngoại vi chuột, bàn phím, đầu đọc mã vạch,… Sử dụng để chép liệu ảnh (graphic) Spyware thường dùng hàm để chụp ảnh hình Hàm dùng để truy cập tới kho lưu trữ chứng số hệ thống Hàm kiểm tra phần mềm có bị debug khơng Hàm dùng kỹ thuật anti-debugging malware Được dùng để kết nối tới máy chủ Đây hàm cấp thấp nên vượt qua số phần mềm kiểm soát Dùng để tắt, mở, hay gửi lệnh điều khiển tới dịch vụ chạy Malware dùng hàm để điều khiển thành phần khác Cần phân tích mã để biết mục đích lời gọi hàm Tạo mở file có sẵn hệ thống Malware dùng hàm để đọc sửa file PE gọi nạp chúng lên nhớ (process injection) Malware dùng hàm để đảm bảo có mọt thể (instance) hệ thống Tạo thực thi mọt tiến trình 14 CreateService Dùng để tạo từ xa luồng (thread) process khác Malware dùng hàm để tiêm mã vào tiến trình khác Tạo dịch vụ vó thể khởi động hệ thống 15 CreateToolhelp32Snapshot Dùng để lưu lại toàn thơng tin tiến trình, 69 16 DeviceIoControl 17 EnableExecuteProtectionS upport 18 EnumProcesses 19 EnumProcessModules 20 FindFirstFile/FindNextFile 21 FindResource 22 FindWindow 23 FtpPutFile 24 GetAdaptersInfo 25 GetKeyState luồng module chúng để phục vụ việc giả danh tiến trình hay luồng Dửi thơng điệp điều khiển từ phân lớp người dùng (phân lớp việc cấp quyền truy cập đến phần hệ thống) tới trình điều khiển thiết bị Hàm thường Malware kernel dùng dễ dàng động để gửi thông tin phân lớp người dùng phân lớp nhân hệ thống Đây ví dụ hàm khơng diễn giải cụ thể Microsoft Hàm thay đổi thiết lập bảo vệ hệ thống Data Execution Protection (DEP) làm cho hệ thống dễ bị công Hàm dùng để liệt kê tiến trình chạy hệ thống, Malware thường dùng hàm để tìm tiến trình tiêm mã độc vào Liệt kê thành phần gọi tiến trình Được dùng để duyệt qua thư mục liệt kê tập tin Để tìm Resource bên file thực thi hay thư viện động (DLL) Malware lưu trữ chuỗi, thiết lập hay mã độc bên Resource này, phát thấy hàm bên phần mềm, cần kiểm tra phần rsrc bên PE header file Hàm để tìm cửa sổ mở hình, hàm dùng kỹ thuật anti-debugging Ví dụ, tìm cửa sổ có tiêu đề Sysinternal, OllyDbg,… Một hàm cấp cao để tải liệu lên máy chủ FTP Dùng để lấy thông tin thiết lập mạng hệ thống Các Backdoor thường dùng hàm để khảo sát thông tin máy bị lây nhiễm Đây hàm dùng kỹ thuật chống ảo hóa, dùng kiểm tra địa MAC hệ thống để xác định Malware có nằm máy ảo VMware khơng Xác định tính trạng phím nhấn, Keylogger dùng hàm để bắt ký tự gõ phím 70 26 GetDC Spyware dùng hàm để chụp ảnh hình 27 GetModuleFilename Hàm trả tên thành phần tiến trình nạp cùng, Malware dùng hàm để định vị, sửa mã bên thành phần nạp tiến trình tìm vị trí thích hợp tiến trình để tiêm mã độc vào Trả địa hàm bên DLL nạp lên nhớ Trả thời gian tính từ hệ thống khởi động Hàm Malware dùng kỹ thuật antidebugging Trả thông tin phiên Windows sử dụng Trả đường dẫn thư mục Windows (thường C:\Windows) Khởi tạo kết nối Internet 28 GetModuleHandle 29 GetProcAddress 30 GetTickCount 31 GetVersionEx 32 GetWindowsDirectory 33 InternetOpen 34 InternetOpenUrl 40 MapViewOfFile Mở kết nối từ URL sử dụng giao thức FTP, HTTP hay HTTPS Kiểm tra tiến trình có trạng thái bị debug không Kiểm tra tài khoản sử dụng có quyền Administrator khơng Hàm cấp thấp để nạp thư viện động (DLL), phần mềm thông thường dùng hàm LoadLibrary để nạp thư viện này, để che giấu tồn mã độc thường dùng hàm thư viện cấp thấp Hàm dùng để nạp thư viện cần dùng tiến trình (khơng kể thư viện nạp lúc tiến trình khởi động, thư viện nạp lúc khởi động rõ ImportTalbe PE file) Nạp resource từ file PE vào nhớ Malware dùng resource để lưu chuỗi, thiết lập hay mã độc, hàm thường Malware dùng Malware dùng hàm để ghi, sửa nội dung file 41 MmGetSystemRoutineAdd Tương tự hàm GetProcAddress 35 IsDebuggerPresent 36 IsNTAdmin 37 LdrLoadDll 38 LoadLibrary 39 LoadResource 71 ress 42 Module32First/Module32N ext 43 NetScheduleJobAdd dùng nhân hệ thống Liệt kê Module nạp 50 ReadProcessMemory Đặt lịch để chạy phần mềm định trước, mã độc dùng hàm để đặt lịch khởi động chúng sau chúng “ngủ đông” để tránh phát hay để thực mục đích Trả thơng tin file thư mục, Rootkit thường móc (hook) vào hàm để thay đổi kết trả nhằm ẩn Trả thơng tin tiến trình, hàm dùng anti-debugging có thơng tin trả tương tự hàm CheckRemoteDebuggerPresent Được dùng để thay đổi mức quyền phần mềm vượt qua chế bảo vệ Data Execution Prevention (DEP) Mở handle đến tiến trình chạy hệ thống Handle dùng để đọc ghi nhớ tiến trình tiêm mã vào tiến trình Xuất chuỗi phát phần mềm debug, dùng kỹ thuật anti-debugging Dùng để thực thi mã luồng khác Malware dùng hàm để tiêm mã độc vào tiến trình khác Đọc nhớ tiến trình định 51 RegOpenKey Đọc sửa khóa registry 52 RtlCreateRegistryKey/ RtlWriteRegistryValue 53 send Tạo/ghi khóa registry chế độ nhân hệ thống Gửi liệu bên 54 SetFileTime Sửa đổi thời gian tạo, truy cập, chỉnh sửa file 55 SetWindowsHookEx Thường sử dụng spyware, keylogger 56 ShellExecute Thực thi phần mềm khác Lần theo dấu vết hàm ta tìm tiến trình mà Malware tạo Đọc nhớ tiến trình định 44 NtQueryDirectoryFile 45 NtQueryInformationProces s 46 NtSetInformationProcess 47 OpenProcess 48 OutputDebugString 49 QueueUserAPC 57 Toolhelp32ReadProcessMe mory 72 58 URLDownloadToFile Tải file từ máy chủ web lưu vào ổ đĩa 59 VirtualAllocEx Được dùng kỹ thuật tiêm mã độc, cho phép định vị vùng nhớ cấp phát cho tiến trình Hàm làm thay đổi thuộc tính bảo vệ khu vực nhớ Đơn cử Malware chuyển chế độ vùng Private Date nhớ tiến trình từ Đọc/ Ghi (Read/write) sang thành Đọc/Ghi/Thực thi (Read/Write/Execute), để thực thi đoạn mã tiêm lên Khởi chạy phần mềm 60 VirtualProtectEx 61 WinExec 62 WriteProcessMemory 63 WSAStartup Có thể dùng để ghi vào nhớ tiến trình khác, hàm dùng kỹ thuật tiêm mã độc vào nhớ tiến trình Được sử dụng để khởi tạo chức mạng mức độ thấp Việc tìm kiếm lời gọi đến WSAStartup cách để xác định vị trí bắt đầu chức liên quan đến mạng ... 3.2.4 Tiêm mã độc Khi mã độc tiêm vào phần mềm, hành vi mã độc có vỏ bọc phần mềm bị tiêm mã, dẫn tới tránh nghi ngờ người dùng Có phương pháp tiêm mã độc vào phần mềm: Một là, tiêm mã độc vào file,... 3.5 Phân tích động Phân tích động bước kiểm tra, phân tích mã độc thực thi Kỹ thuật bước tiếp thứ q trình phân tích Malware Phân tích động thường thực sau phân tích tích tĩnh Malware Phân tích. .. lớn cho người phân tích mã, đặc biệt sử dụng phương pháp phân tích tĩnh để phân tích lượng lớn mẫu mã độc hại Bởi vì, người phân tích cần phải xác định đoạn mã độc hại bị mã hóa hay nén để thực